Warum Ransomware-Angriffe so einfach sind - 10 häufige IT-Sicherheitsfehler (Teil 2)

Wenn das Telefon beim Cyber Security Incident Response Teams (CSIRT) von G DATA Advanced Analytics klingelt, ist die Not meistens groß. Denn am Ende der Leitung sitzt die IT-Leitung eines Unternehmens, das gerade Opfer eines Ransomware Angriffs geworden ist. Dabei ist das nur das Ende einer langen Angriffskette, denn die Tätergruppe bewegt sich oft schon seit mehreren Wochen oder Monaten im Netzwerk. Meistens ungehindert und unbemerkt. Dabei zeigen IT-forensische Analysen, dass sehr viele Cyberangriffe mit grundlegenden und einfachen Cybersecurity-Maßnahmen schon deutlich vor der Verschlüsselung unterbrochen werden könnten. Leonard Rapp, Security Engineer  (DFIR*) bei G DATA Advanced Analytics, stellt hier weitere fünf von zehn typische Probleme vor, die solche Angriffe möglich machen.
* Digital Forensics and Incident Response

Das Problem: In vielen Unternehmen ist es Alltag, dass sich „die IT“ um alle Aufgaben kümmern muss – vom User-Support und das Installieren von Druckertreibern über die Netzwerkadministration. Aber auch Wartung und Pflege der Serverlandschaft bis hin zu IT-Sicherheit, die nebenbei läuft und im härtesten Fall auch noch regulatorisch verpflichtend ist, gehört nicht selten zum Aufgabenbereich. Für elementare und strategische Aufgaben wie der Aufbau einer durchdachten Netzwerkinfrastruktur mangelt es dann neben dem Aufbau von fachlichem Know-how schlicht an zeitlichen Ressourcen.

Die Lösung:Die Erfahrung zeigt, dass in mittelständischen Unternehmen um die fünf Prozent der Mitarbeitenden in der IT angestellt sein sollten. Und es braucht eigene Angestellte für IT-Sicherheit, weil es sonst im Tagesgeschäft untergeht – mit fatalen Folgen. Wichtig dabei ist: Eine wettbewerbsfähige Bezahlung ist ein valides Mittel im Kampf um Fachkräfte.

Das Problem: Zahlreiche Unternehmen lagern ihre IT ganz oder teilweise aus. Damit wollen sie das Problem fehlender Fachkräfte kompensieren. Aber auch hier steckt der Teufel im Detail, was die Kompetenzen und das Know-how beim Dienstleister betrifft.

Die Lösung: Ein guter IT-Dienstleister kann die eigene IT-Abteilung mit Fachexpertise unterstützen, die an dieser Stelle im eigenen Unternehmen fehlt. Wie beim eigenen Personal erhalten Verantwortliche auch hier mit mehr Investment mehr Fachexpertise. Allerdings sind bei der Auswahl eines Dienstleisters ein paar Dinge zu beachten. Wichtige Kriterien bei der Dienstleister-Wahl sind Service Level Agreements inkl. Reaktionszeiten von Dienstleistern. Denn im Notfall ist Zeit ein entscheidender Faktor. Wer mit seinem Dienstleister eine 24-Stunden-Überwachung an sieben Tagen in der Woche über das gesamte Jahr vereinbart hat, etwa im Rahmen einer Managed Extended Detection and Response, sollte im eigenen Unternehmen auch 24/7 Ansprechpersonen festlegen. Denn es ist niemandem geholfen, wenn der Dienstleister um 22:00 Uhr einen Sicherheitsvorfall meldet, aber niemand mehr darauf reagiert.

Darüber hinaus sollte die gesamte IT-Infrastruktur regelmäßig z. B. mit einem Penetrationstest überprüft werden. Das schließt auch die durch den IT-Dienstleister bereitgestellte IT-Infrastruktur mit ein. Auch eine gemeinsame Notfallübung kann Aufschluss über die IT-Sicherheitskompetenzen geben. Hierbei können ebenfalls Meldeketten und Notfallprozesse geübt und getestet werden.

Das Problem: Traurig, aber wahr: Geschätzt 90 Prozent aller durch das CSIRT von G DATA Advanced Analytics bearbeiteten Vorfälle könnten deutlich früher erkannt und damit auch gestoppt werden. Aber die Meldungen aus den eingesetzten Security-Lösungen werden übersehen, gehen in einer Vielzahl irrelevanter Meldungen unter oder werden aufgrund mangelnden Fachwissens falsch interpretiert. Und so finden die Fachleute bei IT-forensischen Analysen immer wieder sehr eindeutige Warnmeldungen, die schlicht und einfach missachtet wurden.

Die Lösung: Wer ein solches Szenario vermeiden will, muss dediziertes Personal für IT-Sicherheit abstellen. Wer das selber nicht leisten kann oder will, sollte Managed Security Services in Betracht ziehen, wie etwa Managed Extended Detection and Response oder ein Security Operation Center. Dabei ist aber ein Aspekt von wesentlicher Bedeutung: die Meldeketten.  In dem Zusammenhang sollten Verantwortliche auch über einen Penetrationtest nachdenken. Damit können Sie die Qualität der eingesetzten Lösungen testen und auch prüfen, ob die Meldeprozesse reibungslos funktionieren,

Das Problem: Ein Paradebeispiel für technische Schulden liefern leider öffentliche Verwaltungen. Hier finden sich immer wieder deutlich veraltete – im wahrsten Sinne des Wortes gruselige – IT-Infrastrukturen.

Technische Schulden sind oftmals auch eine Folge von fehlendem Personal. Aber auch falsch gesetzte Prioritäten begünstigen solche Konstellationen.

Ein Beispiel gefällig? Bei einem Vorfall in einer Stadtverwaltung hat die IT-Forensik eine IP-Adresse identifiziert, von der aus sich die Angreifergruppe heimlich von einem System zum nächsten bewegte. Um diese Spur weiter verfolgen zu können, wurden von der IT-Forensik Logdaten des auffälligen Systems angefordert. Daraufhin mussten die IT-Verantwortlichen der Stadtverwaltung eingestehen, dass es sich um einen Windows-Server 2003 handelt und der letzte Mitarbeiter, der das Admin-Passwort kannte, bereits im Ruhestand ist.

Die Lösung: Verantwortliche sollten sich nicht ausschließlich auf neue Systeme oder Sicherheitsprodukte als Lösungen fokussieren, sondern auch regelmäßig technische Schulden aufarbeiten. Das ist in der Regel das Erste, was immer liegen bleibt, aber auch ein Einladung für Cyberkriminelle. Und eine der ersten Aufgaben, die bei Zeit- und Ressourcenmangel vernachlässigt wird.

Das Problem:Nach der Entdeckung einer schwerwiegenden Cyberattacke herrscht bei vielen Unternehmen oft Panik. Alle Angestellten agieren hektisch und machen dabei aber wenig Zielführendes. Dieses Phänomen wird liebevoll als „Headless Chicken Mode“ bezeichnet.

Die Lösung: Erfahrene Expertinnen und Experten eines Incident-Response-Teams bringen Ruhe und Struktur rein. Denn erst dann können alle gemeinsam den Fall aufarbeiten und die Systeme wieder zum Laufen bringen. Zwingend erforderlich ist dabei ein Notfallplan. Und dieser sollte bereits im Vorfeld als auch offline vorliegen und nicht auf einem verschlüsselten Server unerreichbar sein. In diesem Notfallplan sind insbesondere Zuständigkeiten und Verfahrensweisen für den Notfall geregelt. Wer trifft welche Entscheidungen, wer informiert Angestellte, Kunden oder Stakeholder und wer spricht mit den Ermittlungsbehörden. Ansonsten verlieren Unternehmen bei Diskussionen über Verantwortlichkeiten wertvolle Zeit. Auch alternative Kommunikationswege müssen definiert sein, wenn z. B. keine E-Mails mehr verschickt werden können und Chat-Plattformen, wie Microsoft Teams nicht mehr funktionieren. je größer eine Organisation ist, desto komplexer wird die Aufgabe.

Ein weiterer Punkt: System-Priorisierung. Also die Frage, welches System zuerst überprüft werden muss und wieder anlaufen soll. Welche Systeme sind erforderlich, damit meine Infrastruktur überhaupt wieder läuft? Welche Systeme sind geschäftskritisch, damit Gehälter überwiesen werden können oder die Produktion am Laufen gehalten wird?

Dann hilft es natürlich auch, einen guten internen Response-Dienstleister auf der Kurzwahl-Taste einzuspeichern. Wenn man erst die Liste des BSI über qualifizierte Dienstleister abtelefonieren muss, dauert das länger und man erhält nicht zwingend den am besten qualifizierten Dienstleister. Im Idealfall haben die Verantwortlichen bereits Kontakt zu den Fachleuten hergestellt und sogar einen Incident-Response-Retainer-Vertrag abgeschlossen. Damit haben Unternehmen die Gewissheit, dass ihr Fall auch tatsächlich sofort bearbeitet wird.

Und ein letzter Rat für die Zusammenarbeit mit Incident-Response-Teams: Datenmanagement. Je mehr Logdaten vorliegen, desto genauer lässt sich der Angriffshergang rekonstruieren und kompromittierte Systeme und Konten identifizieren. Je mehr Erkenntnisse aus der IT-Forensik vorliegen, desto gezielter lassen sich die Wiederanlaufmaßnahmen gestalten und das Unternehmen ist schneller wieder handlungsfähig. Wenn der Angriffsablauf nicht schlüssig dargestellt werden kann, müssen konservative Wiederanlaufmaßnahmen erfolgen, um das Sicherheitsrisiko auf ein vertretbares Maß zu reduzieren. Das bedeutet im schlimmsten Fall den vollständigen Neuaufbau der kompletten IT-Infrastruktur.

Auf das Prinzip Hoffnung sollte sich kein Unternehmen einlassen. Wer aber die genannten zehn Punkte beachtet und umsetzt, hat viele Instrumente, Angriffsversuche frühzeitig zu erkennen, um Gegenmaßnahmen einzuleiten. Idealerweise sind die Maßnahmen so wirkungsvoll, dass Tätergruppen den Angriff frühzeitig abbrechen oder dieser zeitnah entdeckt wird – und das sehen wir als CSIRT immer häufiger.